Het Australian Signals Directorate (ASD) heeft een bulletin uitgegeven over aanhoudende cyberaanvallen gericht op niet-gepatchte Cisco IOS XE-apparaten in het land met een voorheen ongedocumenteerd implantaat, bekend als BADCAANDY.
De activiteit omvat volgens de inlichtingendienst de exploitatie van CVE-2023-20198 (CVSS-score: 10,0), een kritieke kwetsbaarheid waarmee een externe, niet-geverifieerde aanvaller een account met verhoogde rechten kan aanmaken en deze kan gebruiken om de controle over gevoelige systemen over te nemen.
Het veiligheidsdefect wordt sinds 2023 actief in het wild uitgebuit, waarbij aan China gelieerde dreigingsactoren zoals Salt Typhoon het de afgelopen maanden hebben bewapend om telecommunicatieproviders te overtreden.
ASD merkte op dat er sinds oktober 2023 variaties op BADCAANDY zijn gedetecteerd, waarbij in 2024 en 2025 nog steeds een nieuwe reeks aanvallen wordt geregistreerd. Naar schatting zijn maar liefst 400 apparaten in Australië sinds juli 2025 besmet met de malware, waarvan 150 apparaten alleen al in oktober zijn geïnfecteerd.
“BADCANDY is een op Lua gebaseerde webshell met een laag eigen vermogen, en cyberactoren hebben doorgaans na een compromis een niet-persistente patch toegepast om de kwetsbaarheidsstatus van het apparaat in relatie tot CVE-2023-20198 te maskeren”, aldus het rapport. “In deze gevallen duidt de aanwezigheid van het BADCAANDY-implantaat op een compromittering van het Cisco IOS XE-apparaat, via CVE-2023-20198.”
Het ontbreken van een persistentiemechanisme betekent dat het niet kan overleven tijdens het opnieuw opstarten van het systeem. Als het apparaat echter ongepatcht blijft en blootgesteld blijft aan internet, is het mogelijk dat de bedreigingsacteur de malware opnieuw introduceert en er weer toegang toe krijgt.
ASD heeft vastgesteld dat de bedreigingsactoren kunnen detecteren wanneer het implantaat wordt verwijderd en de apparaten opnieuw infecteren. Dit is gebaseerd op het feit dat herexploitatie heeft plaatsgevonden op apparaten waarvoor de dienst eerder meldingen heeft gedaan aan de getroffen entiteiten.
Dat gezegd hebbende, zal een herstart andere acties van de aanvallers niet ongedaan maken. Het is daarom van essentieel belang dat systeembeheerders de patches toepassen, de publieke bekendheid van de webgebruikersinterface beperken en de noodzakelijke strengere richtlijnen van Cisco volgen om toekomstige misbruikpogingen te voorkomen.
Enkele van de andere door het bureau geschetste acties worden hieronder vermeld:
- Controleer de actieve configuratie voor accounts met privilege 15 en verwijder onverwachte of niet-goedgekeurde accounts
- Controleer accounts met willekeurige tekenreeksen of ‘cisco_tac_admin’, ‘cisco_support’, ‘cisco_sys_manager’ of ‘cisco’ en verwijder ze als ze niet legitiem zijn
- Controleer de actieve configuratie op onbekende tunnelinterfaces
- Bekijk de TACACS+ AAA-opdrachtboekregistratie voor configuratiewijzigingen, indien ingeschakeld
